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(57) Abstract: The invention relates to a 
method for authenticating a user of a com- 
munication terminal (UE) during registration 
and during use of a service network (IMS) 
organising a communication service. Access 
to the service netwoiic (IMS) on the side of 
the communication terminal (UE) is cairied 
out by means of an access network (GPRS) 
connecting the communication tenninal (UE) 
to the service network (IMS). According to 
the invention, in a preliminary step, a logon 
IP address (IP-SRC-UE) associated with the 
conununication temunal (UE) by an access 
network node when the communication 
terminal (UE) logs on to the access network 
(GPRS) is received by the service network 
(IMS) and is stored in the same for the 
respective user of the communication terminal, and a public characteristic (SIP-Public-ID) of the conununication terminal (UE) is 
^ unequivocally associated with the logon IP address (IP-SRC-UE) by the service network (IMS) and is stored in the service network 
^ (IMS), coupled to the logon IP address. During the registration of the conununication tenninal in the service network and/or during 
^ the request of a communication service by the communication tenninal, the logon IP address (IP-SRC-UE) associated with the 
communication terminal is verified in the access network node (GGSN), and the public characteristic (SIP-Public-tD) associated 
^ with the logon IP address (IP-SRC-UE) is verified in the service network; during the verification of the logon IP address in the 
^ access neiworic node (GGSN) and the public characteristic (SIP-Public-ID) associated with the logon IP address (IP-SRC-UE) in the 
^ service networic (IMS), a successful registration is identified and/or the requested communication service is carried out; and during 
the non-verification of the logon IP address in the access network node (GGSN) and/or the public characteristic (SIP-Public-ID) 


Q associated with the logon IP address (IP-SRC-UE) in the j^jg|^^g^i$E^gI}4S), an nnsucces sfbl registration is identified and/or 
^ an execution of the requested conununicadon service is re y^p^teffltia !J) 3[(o4(^ "j 
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(57) Zusammenrassung: Die vorliegende £rfindung betrifft ein Veifahien znm Authen-tifizieren eines Nutzers eines Kommunika- 
tionsendgerats (UE) beim Registrieien and bei Nutzung eines einen Kbmmunikations-dienst organisieienden Dienstnetzes (IMS), 
wobei ein kommuni-kationsendgerateseitiger (UE) Zugriff auf das Dienstnetz (IMS) fiber ein das Kommunikationsendgerat (UE) 
mit dem Dienstnetz (IMS) verbindendes Zugangsnetz (GPRS) erfolgt, bei dem- in einem Vorausschritt- eine Anmelde-IP-Adresse 
(IP-SRC-UE), welche bei einem Anmelden des Kommunikationsendgerats (UE) bei dem Zu-gangsnetz (GPRS) dem Kommuni- 
kationsendgerat (UE) von ei-nem Zugangsnetzknoten (GGSN) zugeordnet wmde, von dem Dienstnetz (IMS) empfangen und in 
diesem fiir den jcwei-ligen Nutzer des Konmiunikationsendgerates abgespeichert wurde,- der Anmelde-IP-Adresse (IP-SRC-UE) 
von dem Dienstnetz (IMS) eine dffentlichen Kennung (SIP-Public-ID) des Kom-munikationsendgerates (UE) eindeutig zugeordnet 
und im Dienstnetz (IMS) gekoppelt mit der Anmelde-P-Adresse gespeichert wird,- bei der Registrierung des Kommunikationsend- 
gerates in dem Dienstnetz und/oder bei Anforderung eines Kommunikations-dienstes durch das Kommunikationsendgerat im Zu- 
gangsnetz-knoten (GGSN) die dem Kommunikationsendgerat zugeordnete Anmelde-IP-Adresse (IP>SRC-UE) und im Dienstnetz 
die der Anmelde-lP-Adresse (IP-SRC-UE) zugeordnete offentliche Kennung (SIP-Public-ID) verifiziert werden,- bei Verifizierung 
der Anmelde-IP-Adresse im Zugangsnetz-knoien (CjGSN) und der der Anmelde-IP-Adresse (IP-SRC-UE) zugeordneten dffentlichen 
Kennung (SIP-Pubiic-ID) im Dienstnetz (IMS) ein erfolgreiches Registrieren erkannt wird und/oder der angeforderte Konrntmnika- 
tionsdiensi ausge-fiihrt wird, und- bei Nicht- Verifizierung der Anmelde-IP-Adresse im Zugangs-netzknoien (GGSN) und/oder der 
der Anmelde-IP-Adressc (IP-SRC-UE) zugeordneten dffentlichen Kennung (SIP-Public-ID) im Dienstnetz (IMS) ein erfolgloses 
Registrieren erkannt wird und/oder eine Ausfiihrung des angeforderten Kotnmimika-tionsdienstes verweigert wild 
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Beschreibung 

Verfahren zum Authentif izieren eines Nutzers eines Kommtinika- 
tionsendgerats beim Registrieren in einem und bei Nutzving von 
5 einem Dienstnetz 

Bei Mobilfunknetzen der zweiten und dritten Generation werden 
Mobilfunknutzern Dienste angeboten, die von fiir eine 
Diensterbringung optimierten Spezialnetzen (Dienstnetzen) er- 
10 bracht werden. Die Dienstnutzer werden dabei liber ein Zu- 

gangsnetz (z.B. ein nach dem GPRS-Standard arbeitendes Kotnmu- 
nikationsnetz) mit dem Dienstnetz verbunden. Esist oftmals 
fur Netzbetreiber von Interesse, vor einer Diensterbringimg 
die Identitat der Dienstnutzer f estzustellen und bei erfolg- 

15 reicher Authentif izierung diese Nutzer zu registrieren. Ein 
Beispiel fur ein derartiges Dienstnetz bildet ein . sogenann- 
tes, im Rahmen von 3GPP Release 5 standardisiertes IMS (IP 
Multimedia Subsystem) . Eine Voraussetzung fur das Vergebuhren 
von von einem Nutzer angef orderten Diensten (Service Char- 

20 ging) im IMS ist die Identif izierung des Nutzers im IMS, wie 
sie entsprechend den in der Druckschrift 3GPP TS 23.228 Ver- 
sion 5.4.1 beschriebenen Mechanismen realisierbar ist. Diese 
Mechanismen beruhen im wesentlichen xinter anderem auf der 
Nutzung einer neuen SIM-Karte (ISIM) im Kommunikationsendge- 

25 rat, einer Erzeugung von Schliisselmaterial in einem Heimatre- 
gister des Dienstnetzes, einer SIP basierten Registrierungs- 
prozedur und auf Kontrollmecbanismen im Zugangsnetz, wie bei- 
spielsweise einem GPRS Zugangsnetz, die uber eine neue 
Schnittstelle vom Dienstnetz aus gesteuert wird. Allerdings 

30 erfordert die Ausfuhrung dieser Mechanismen dass Komm\inikati- 
onsendgerSte und das Zugangsnetz im wesentlichen dem 3GPP 
Standardisieriingsrelease 5 angepasst bzw. gernQgen mussen, was 
momentan noch nicht realisiert ist. Dieses fuhrt zu einer Si- 
cherheitslucke insbesondere bei der Vergebuhmng von im IMS 

35 angebotenen Diensten und Inhalten. Dabei ist es einem in be- 
trugerischer Absicht handelndem Nutzer moglich, dem Netzwerk 
eine falsche Identitat vorzutauschen, so dass ein anderer 
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Teilnehmer fur die in Anspruch genommenen Leistungen verge - 
biihrt werden wurde, Daruber hinaus ware das Netzwerk anfalli- 
ger fur Denial-of -Service Angriffe. 

5 Um auch moment an verfugbare Kommunikationsendgerate und Zu- 
gangsnetze, wie beispielsweise GPRS-Net ze, zu nutzen, mussen 
demnach Ubergangslosungen gefunden werden. 

Ein wie oben gefordertes Registrierungsverf ahren ist Ge- 
10 genstand der deutschen Patentanmeldiing DE 10223248.2. Es er- 
moglicht eine zuverlassige Identif izieirung eines Dienstnetz- 
nutzers (IMS-Nutzer) fur den Fall, dass das Dienstnetz an ein 
existierendes Release 99 GPRS Netzwerk angeschlossen wird 

4 

bzw. dass Dienste des Dienstnetzes auf der Basis existieren- 
15 der Release 99 Kommunikationsendgerate genutzt werden, die 
keine ISIM besitzen und auch keinen Zugang zu Inf ormationen 
auf der SIM-Karte erlauben. 

Auch wenn es momentan noch keine Zugangsnetze gibt, die in 
20 ausreichender Form uber Authentif izierungsmechanismen der Re- 
lease 5 verfugen, so gibt es doch schon Zugangsnetze, wie 
beispielsweise GPRS Zugangsnetze, in welchen nicht standardi- 
sierte, spezifische Zugangsnetzknoten, wie beispielsweise 
GGSNs im GPRS Zugangsnetz in der Lage sind, von ihnen an je- 
25 weilige Kommunikationsendgerate beim Anmelden im Zugangsnetz 
vergebene Anmelde-IP-Adressen zu verif izieren. Der GGSN kann 
dabei uberprufen, ob eine Anmelde-IP-Adresse, die mit einer 
Nachricht mit ubertragen wird, auch wirklich von dem Kommuni- 
kationsendgerat staramt, welchem zuvor diese Anmelde- IP-Ad- 
30 resse zugeordnet wurde. 

Eine Aufgabe der vorliegenden Erfindung war es, unter dieser 
Vorbedingung im Zugangsnetz ein sicheres, zuverlassiges \ind 
einfach durchfCihrbares Verfahren zur Verfugiing zu stellen, um 
35 einen Dienstnutzer beim Registrieren in einem \ind/oder bei 
Nutzung von einem Dienstnetz authentif izieren zu konnen. 
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GemaS Anspruch 1 der vorliegenden Erf indung wird ein Verfah- 
ren zum Authentif izieren eines Nutzers eines Kommunikations- 
endgerats (UE) beim Registrieren iind bei Nutzung eines einen 
Kotnmunikationsdienst organisierenden Dienstnetzes (IMS) be- 
5 reit gestellt, wobei ein kommunikationsendgerateseitiger (UE) 
Zugriff auf das Dienstnetz (IMS) uber ein das Kommunikations- 
endgerat (UE) mit dem Dienstnetz (IMS) verbindendes Zugangs- 
netz (GPRS) erfolgt, bei dem 
- in einem Vorausschritt 
10 - eine Anmelde-IP-Adresse (IP-SRC-UE) , welche bei einem 

Anmelden des Kommiinikationsendgerats (UE) bei dem Zu- 
gangsnetz (GPRS) dem Komraunikationsendgerat (UE) von ei- 
nem Zugangsnetzknoten (GGSN) zugeordnet wurde, von dem 
Dienstnetz (IMS) empfangen iind in diesem fur den jewei- 
15 ligen Nutzer des Kommunikationsendgerates abgespei chert 

wurde , 

- der Anmelde-IP-Adresse (IP-SRC-UE) von dem Dienst- 
netz (IMS) eine pffentlichen Kennung (SIP-Public-ID) des 
Kommunikationsendgerates (UE) eindeutig zugeordnet und 
20 im Dienstnetz (IMS) gekoppelt mit der Anmelde-IP-Adresse 

gespei chert wird, 

- bei der Registrierung des Kommxinikationsendgerates in dem 
Dienstnetz und/oder bei Anforderung eines Kommunikations- 
dienstes durch das Kommunikationsendgerat im Zugangsnetz- 

25 knoten (GGSN) die dem Kommunikationsendgerat zugeordnet e 
Anmelde-IP-Adresse (IP-SRC-UE) und im Dienstnetz die der 
Anmelde-IP-Adresse (IP-SRC-UE) zugeordnete offentliche 
Kennung (SIP-Public-ID) verifiziert werden, 

- bei Verif izierung der Anmelde-IP-Adresse im Zugangsnetz- 
30 knoten (GGSN) und der der Anmelde-IP-Adresse (IP-SRC-UE) 

zugeordneten offentlichen Kennung (SIP-Public-ID) im 
Dienstnetz (IMS) ein erfolgreiches Registrieren erkannt 
wird und/oder der angeforderte Kommunikationsdienst ausge- 
fuhrt wird, und 

35 - bei Nicht -Verif izierung der Anmelde-IP-Adresse im Zugangs- 
netzknoten (GGSN) und/oder der der Anmelde-IP-Adresse (IP- 
SRC-UE) zugeordneten offentlichen Kennung (SIP-Public-ID) 
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im Dienstnetz (IMS) ein erfolgloses Registrieren erkannt 
wird imd/oder eine Ausfiihrung des angef orderten Kommunika- 
tionsdienstes verweigert wird. 

5 Im Gegensatz zum Verfahren, das in der DE 10223248 beschrie- 
ben wird, ist es bei" detn vorliegenden Verfahren nicht notig, 
ein Kennzeichen (Token) zu verwenden, da im Zugangsnetz bzw. 
im entsprechenden Zugangsnetzknoten (GGSN) die Anmelde-IP-Ad- 
resse verifiziert werden kann. 

10 

Das erf indimgsgemafie Verfahren benotigt vorteilhaf terweise 
keine Kommunikationsendgerate oder Zugangsnetze, welche Stan- 
dardisierungsvorschrif ten der 3GPP „ Release 5'' entsprechen. 
Vielmehr ist das erf indungsgemaSe Verfahren auch mit den 

15 heute vorherrschenden Kommiinikationsendgeraten und. Zugangs-- 
netzen einsetzbar, welche Standardisierungsvorschrif ten der 
3GPP ^Release 1999^^ (auch als ^Release 3'' bezeichnet) genu- 
gen. Zum Beispiel sind heute gebrauchliche Kommunikationsend- 
gerate geeignet, welche lediglich eine herkommliche „Subscri- 

20 ber Identity Module (SIM) ^^-Karte aufweisen. Ein weiterer Vor- 
teil des erf indiingsgemaiSen Verfahrens besteht darin, dass das 
Verfahren sehr einfach und effizient ist, Es ist hier nicht 
notig, ein Kennzeichen zu kreieren wie die in dem Verfahren 
aus der DE10223248 vorgesehen ist, noch muss man dieses Kenn- 

25 zeichen dann wieder eritschlusseln. Die Verf ahrensschritte 
sind wesentlich einfacher und somit schneller durchf uhrbar . 

Vorteilhaf terweise kann das erf indungsgemaSe Verfahren auch 
so ausgestaltet sein, dass zusatzlich zur Verif izierung der 

30 Anraelde-IP-Adresse (IP-SRC-UE) und der der Anmelde-IP-Adresse 
zugeordneten offentlichen Kennung (SIP-Public-ID) eine Veri- 
fizierung einer privaten Kenniing (SIP-Private-ID) des Kommu- 
nikationsendgerates durchgefuhrt wird und nur bei erfolgrei- 
cher Verif izierung der Anmelde-IP-Adresse, der der Anmelde- 

35 IP-Adresse zugeordneten offentlichen Kennung (SIP-Public-ID) 
und der privaten Kennung (SIP-Private-ID) ein erf olgreiches 
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Registrieren erkannt wird und/oder der angeforderte Kommimi- 
kationsdienst ausgefiihrt wird. 

In einer bevorzugten Ausfiihrungsform des erf indungsgemafien 
5 Verfahrens wird die Verif izierung der der Anmelde-IP-Adresse 
zugeordneten offentlichen Kennung (SID-Public-ID) von einer 
Vermittlimgsstelle (S-CSCF) des Dienstnetzes (IMS) vorgenom- 
men . 

10 Ferner wird vorzugsweise die Verif izierung der privaten Ken-, 
niang (SID-Private-ID) ebenfalls von einer Vermittlimgsstelle 
(S-CSCF) des Dienstnetzes (IMS) vorgenommen . 

In einer weiteren bevorzugten Ausfiihrungsform des erf indungs- 
15 gemafien Verfahrens wird bei erf olgreicher Verif izieirung der 
Anmelde-IP-Adresse (IP-SRC-UE) im Zugangsnetzknoten (GGSN) 
und der der Anmelde-IP-Adresse zugeordneten offentlichen Ken- 
nung eine Registrierung des Kommunikationsendgerates in dem 
Dienstnetz (IMS) und/oder eine Ausfuhrung des angef orderten 
20 Dienstes durch eine Vermittlungsstelle (S-CSCF) des Dienst- 
netzes (IMS) veranlasst, und 

bei Nicht- Verif izierxing der Anmelde-IP-Adresse (IP-SRC-UE) im 
Zugangsnetzknoten (GGSN) und/oder der der .Anmelde-IP-Adresse 
zugeordneten offentlichen Kennung (SIP-Public-ID) eine Re- 
25 gistrier\ing und/oder eine Ausfuhrung des angef orderten Diens- 
tes durch die Vermittlungsstelle (S-CSCF) verweigert. 

In einer . weiteren vorteilhaf ten Ausfiihrungsform des erfin- 
dungsgemafien Verfahrens ist es aber auch moglich, dass bei 
30 Nicht- Verif izierung der Anmelde-IP-Adresse im Zugangsnetzkno- 
ten (GGSN) bereits hier eine Registrierung und/oder eine Aus- 
fiihrung des angef orderten Dienstes verweigert wird bzw. dass 
der weitere Verf ahrensablauf einfach gestoppt wird. 

35 Zur weiteren Erlauterung der Erfindung ist in 

Figur 1 ein Ausf iihrouigsbeispiel einer Anordnung zur Ausfiih- 
rung des erf indungsgemafien Verfahrens, in 
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Figur 2 sine schematische Darstellung eines Ausfuhningsbei- 
spiels des erf indvmgsgemaSen Verfahrens und in 
Figur 3 eine schematische Darstellung eines weiteren Ausfuh- 
rungsbeispiels des erf indxingsgemaSen Verfahrens dargestellt. 

5 

In Figur 1 ist als Zugangsnetz ein nach ^.General Packet Radio 
Service ''-Vorgaben arbeitendes Mobilfunknetz GPRS darge- 
stellt. Dieses Zugangsnetz GPRS beinhaltet eine erste GPRS- 

10 Gateway-Veinfnittlungsstelle GGSNl (GGSN = Gateway GPRS Support 
Node) , welche uber eine nach dem SIP -Standard arbeitende 
erste Signalverbindung SIPl mit einem ersten Komtnunikations- 
endgerat UEl verbindbar ist. Weiterhin weist das Zugangsnetz 
eine zweite GPRS-Gateway-Vermittlungsstelle GGSN2 auf, die 

15 uber eine nach. dem SlPrStandard arbeitende zweite Signalver- 
bindung SIP2 mit einem zweiten Kommunikationsendgerat UE2 
verbindbar ist . Bei dem ersten Kommunikationsendgerat UEl und 
dem zweiten Kommunikationsendgerat UE2 kann es sich z.B. urn 
Mobil telef one, Laptops oder Palmtops mit Mobilf xinkmodul han- 

20 deln. Die erste GPRS-Gateway-Vearmittlungsstelle GGSNl und die 
zweite GPRS-Gateway-Vermittlungsstelle GGSN2 sind uber Daten- 
verbindungen 3 und 4 mit einem ^Authentication Authorisation 
Accounting" -Server A?UV des Zugangsnetzes verbunden. Der Ser- 
ver AAA ist uber eine Datenverbindung 5 mit einem Heimatre- 

25 gister HSS (HSS = Home Subscriber Server) eines als Dienst- 
netz IMS arbeitenden „IP Multimedia Core Network Subsystem^' 
verbunden. Uber die Datenverbindungen 3, 4 und 5 werden im 
Verlaufe des Verfahrens Mobilfunkrufnummem (MSI SDN) und tem- 
porar gultige IP-Adressen der Kommunikationsendgerate uber- 

30 tragen. 

Von dem Dienstnetz IMS ist weiterhin schematisch lediglich 
eine Vermittlungsstelle S-CSCF (CSCF = Call Session Control 
Function; S-CSCF = Serving-CSCF) dargestellt, welche einer- 
seits uber eine Datenverbindung 7 mit dem He imat register HSS 
35 und andererseits uber Datenverbindungen 9 und 10 mit der 

ersten GPRS-Gateway-Vermittlungsstelle GGSNl und der zweiten 
GPRS-Gateway-VexTuittlungsstelle GGSN2 verbunden ist. Uber die 
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Datenverbindung 7 werden Inf ormationen zur Nutzerauthentif i- 
zierung mit dem Heimatregister HSS ausgetauscht , uber die Da- 
tenverbindungen 9 und 10 konnen SIP-Nachrichten an die erste 
GPRS-Gateway-Vermittlungsstelle GGSNl und die zweite GPRS-Ga- 
5 teway-Vermittlungsstelle GGSN2 gesendet werden. 

Mittels des ersten Kommunikationsendgerats UEl kann z.B. eine 
,,IMS Instant Message** genannte Nachricht an das zweite Kommu- 
nikationsendgerat UE2 gesendet werden; zuvor ist jedoch eine 
10 Registrierung (Anmeldung, Einbuchung) des ersten Kommunikati- 
onsendgerats UEl und ggf . auch des zweiten Kommunikationsend- 
gerats UE2 vorzunehmeh. 

4 

Wenn alsoein Nutzer eines Kommunikationsendgerates Dienste 

15 des Dienstnetzes IMS nutzen mochte, so wird dessen Kommunika- 
tionsendgerat in das Zugangsnetz eingebucht (das Zugangsnetz 
ist heute oftraals durch ein sog. ^Release 1999'' -GPRS-Net zwerk 
realisiert) . Beim Einbuchen in das GPRS-Netz wird eine an 
sich bekannte GPRS -Nut zer- Authent if i zierung durchgef iihrt , 

20 diese nutzt die im Endgerat vorhandene SIM-Karte. Die GPRS 
Authent if izierxong eines Nutzers eines Kommunikationsendgera- 
tes wird ausgefuhrt, wenn sich das Kommunikationsendgerat in 
das GPRS Zugangsnetz einbucht.- Bei erfolgreicher Authentifi- 
zierung wird ein PDP-Kontext erzeugt und von dem GGSN wird 

25 eine temporare IP-Adresse fur das Kommunikationsendgerat ver- 
geben, Diese IP-Adresse erlaubt es anderen Netzteilnehmem, 
IP-Pakete an dieses Kommunikationsendgerat zu schicken. Nut- 
zem von Kommunikationsendgerat en, die ein GPRS Zugangsnetz 
nutzen, wird des weiteren eine MSiSDN zugeordnet. Die MSISDN 

3 0 ist eine Rufnuramer unter der der jeweilige Nutzer des Kommu- 
nikationsendgerates im GPRS und im GSM erreichbar ist. Zu- 
satzlich dazu rauS sich der Nutzer bzw. das Kommxinikationsend- 
gerat beim Dienstnetz IMS registrieren und dabei authentifi- 
zieren. Beide Prozeduren, die Anmeldung im Zugangsnetz GPRS 

35 und die Anmeldung (Registrierung) im Dienstnetz IMS, werden 
z.B. automatisch beim Einschalten des Endgerates durchge- 
fiihrt. Einen wesentlichen Teil des Registrierens bei dem 


BNsnnrjn- <wn 


wo 2004/019641 


PCT/DE2002/003061 


8 

Dienstnetz stellt das Authentif izieren durch das Dienstnetz 
dar, Dabei wird wahrend des Registrierens des Kommunikations- 
endgerates bei dem Dienstnetz ein Nutzer des Kommunikations- 
endgerates authentif iziert . Genau betrachtet wird dabei die 
5 SIM-Karte des Nutzers, welche in das Kommunikationsendgerat 
eingelegt ist, erkannt iind dadurch auf die Person des Nutzers 
geschlossen. 

Eine Authentif izierung eines Nutzers eines Kommunikationsend- 
10 gerates im Dienstnetz beinhaltet im wesentlichen die Verifi- 
kation einer dem Nutzer des Kommunikationsendgerates zugeord- 
neten SIP-Adresse, d.h. einer Adresse, unter welcher der Nut- 
zer des Kommunikationsendgerates in dem Dienstnetz erreichbar 
ist. Dies beinhaltet die Verifikation einer offentlichen Ken- 
15 nung, einer sogenannten SIP Public User ID und einer privaten 
Kennung, einer sogenannten SIP Private User ID. Von besonde- 
rer Bedeutxing ist dabei die Verifikation der SIP Public User 
ID, da diese fur die Vergebuhrung genutzter Dienste aus dem 
Dienstnetz verwendet wird. Die Verifikation der SIP Private 
20 User ID folgt aus der SIP Piiblic User ID, da es zu jeder SIP 
Public User ID nur eine SIP Private User ID gibt. 

Die Verifikation der SIP Piiblic User ID muss zum einen bei 
der Registrierung eines Nutzers eines Kommunikationsendgera- 

25 tes im Dienstnetz und zum anderen bei Nutzung eines Dienstes 
des Dienstnetzes durchgefuhrt werden. Will sich ein Nutzer 
eines Kommunikationsendgerat im Dienstnetz, wie beispiels- 
weise IMS anmelden, sendet das Kommunikationsendgerat eine 
SIP REGISTER Nachricht an das Dienstnetz (IMS) . Ziel der IMS 

30 Authentif izierung ist es zu uberpriifen, ob die in dieser 

Nachricht angegebene SIP Public User ID korrekt ist. Femer 
kann zur groSeren Sicherheit auch die SIP Private User ID 
uberpruft werden. 

35 Das erf indungsgemaSe Verfahren beruht dabei" im wesentlichen 
auf den folgenden beiden Gnindideen: 
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- einer verif izierbaren Bindung eines Nutzers eines Kommuni- 
kationsendgerates, der ein Dienstnetz (IMS) nutzen mochte, an 
die temporare IP-Adresse, die wahrend des Eir±)uchens in das 
GPRS Zugangsnetz von dem Zugangsnetzknoten (GGSN) vergeben 

5 worden ist, 

- der Nutzung der existierenden Release 99 Standard-GPRS Nut- 
zer Authentif ikation zur Verif ikation der SIP Public User ID, 
Dies beinhaltet eine Abbildung (Mapping) der temporaren IP- 
Adresse des Kommunikationsendgerates auf die zugehorige SIP 

10 Public User ID. Eine verif izierte SIP Public User ID erlaubt 
wiederum die Verif ikation der SIP Private User ID. 

Figur. 2 zeigt, wie eine Nutzer-Authentif izierung wahrend der 
15 Registrierung eines Kommunikationsendgerates in einem Dienst- 
netz (IMS) erf indungsgemaS durchgefuhrt wird. Der hier darge- 
stellte Nachrichtenf luss (SIP Message Flow) ist dabei iden- 
tisch zu dem in der 3GPP in der Druckschrift TS 24.228 Ver- 
sion 5.0.0 fur die IMS Registrierung eines Kommunikat ions end- 
20 gerates bzw. eines Nutzers standardisierten Nachrichtenf lus- 
ses. Jedoch unterscheidet sich der in Figur 2 gezeigte Nach- 
richtenfluss (SIP Message Flow) vom Standard in der Authenti- 
f izierungsprozedur, die im Dienstnetz (IMS) ausgefuhrt wird. 

25 Der in Figur 2 gezeigte Verf ahrensablauf beginnt mit einer 
Einbuchung eines Kommunikationsendgerates eines Nutzers in 
ein GPRS Zugangsnetz. Dabei wird an das Kommunikationsendge- 
rat eine temporare IP-Adresse vergeben. Diese wird in Figur 2 
als IP-SRC-UE bezeichnet, Ein AAA-Server im Zugangsnetz er- 

30 laubt eine Zugangskontrolle und ist fiir das Sarameln von 

Accountingdaten verantwortlich. Wahrend der Einbuchung erhalt 
. der AAA-Server die temporare IP-Adresse des Kommunikations- 
endgerates sowie eine entsprechende MSISDN des zugehorigen 
Kommunikationsendgerates von dem Zugangsknoten GGSN. Diese 
■ 35 beiden Parameter werden anschlieSend zu einem Heimatregister 
HSS des Dienstnetzes IMS iibertragen. Die Kommunikation zwi- 
schen dem GGSN und dem AAA-Server ist im 3GPP Standard TS 
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29.061 beschrieben. Der Datenaustausch zwischen dem AAA-Ser- 
ver und dem HSS ist proprietar. Altemativ konnte das HSS 
uber eine proprietare oder standardisierte Schnittstelle di- 
rekt an den Zugangsnetzknoten GGSN angeschlossen warden, Nach 
5 Erhalt der genannten Parameter kann das Heimatregister HSS 
mittels der MSISDN die zur temporaren IP-Adresse (IP-SRC-UE) 
gehorende SIP Public User ID ermitteln. Dies ist moglich, da 
im Nutzer-Prof il jedes das Dienstnetz (IMS) nutzendes Kommu- 
nikationsendgerates neben dessen SIP Pxiblic User ID und des- 
10 sen SIP Private User ID auch dessen MSISDN eingetragen ist. 

Nach der Einbuchung in das Zugangsnetz GPRS erfolgt eine SIP 
basierte Registrierung beim Dienstnetz (IMS) . Die entspre- 
chende SIP REGISTER Nachricht enthalt die temporare IP-Ad^ 

15 resse (IP-SRC-UE) des Kommunikationsendgerates . Diese muss 
aber nicht zwangslaufig diejenige sein, die das Kommunikati- 
onsendgerat wahrend der Einbuchung in das GPRS Zugangsnetz 
erhalten hat. Ein betrugerischer Nutzer, der die Software 
seines Kommunikationsendgerates verandert hat, konnte hier 

20 auch eine falsche IP-Adresse eingeben. Dies wird durch die 
existierende Release 99 GPRS Zugangsnetze in der Regel nicht 
liberpriift. Es sind allerdings auch bereits Zugangsnetzknoten 
GGSN. realisiert, wie beispielsweise die GGSN „CPG-3000^' von 
Siemens, die uber eine proprietare Funktionalitat verfugen, 

25 die IP-Adresse uberpriifen bzw. verifizieren zu konnen. Bei 
der vorliegenden Erfindung werden nur solche Zugangsnetzkno- 
ten verwendet. 

Wenn nun die SIP REGISTER Nachricht in einer Vermittlungs- 
30 stelle S-CSCP des Dienstnetzes eintrif ft (Schritt 8) , ladt 

die Vermittlungsstelle (S-CSCF) das Parameterpaar <IP-SRC-UE 
SIP-Public-ID> vom Heimatregister HSS des Dienstnetzes (IMS) 
und speichert es in einer lokalen Datenbank der Vermittlungs 
stelle S-CSCF. Dieses Parameterpaar wird mit den in der SIP 
35 REGISTER Nachricht angegebenen Parametem verglichen. Zusatz 
lich kann die SIP Private User ID aus der SIP REGISTER Nach- 
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richt mit der fur die SIP Public User ID im Prof il des Nut- 
zers gespeicherten SIP Private User ID verglichen werden. 

Das Kommunikationsendgerat ist im Dienstnetz (IMS) authenti- 
5 fiziert, wenn die fur die IP-Adresse auf der Vermittlungs- 
stelle S-CSCF gespeicherte SIP Public User ID mit der SIP 
Public User ID aus der SIP REGISTER Nachricht ubereinstimmt 
und die fiir diese SIP Public User ID auf der Vermittl\mgs- 
stelle S-CSCF gespeicherte SIP Private User ID mit der SIP 
10 Private User ID aus der SIP REGISTER Nachricht ubereinstimmt. 

Falls eines der genannten Kriterien nicht erfiillt ist, ist 
die Authentif izierung im Dienstnetz (IMS) gescheitert. 

15 Nach der Authentif izierung des Kommunikationsendgerates auf 

der Vermittlungsstelle S-CSCF des Dienstnetzes (IMS) wird dem 
Kommunikationsendgerat das Ergebnis dieser Authentif izierung 
mitgeteilt. Der zugehorige Nachrichtenf luss entspricht wieder 
dem Standard. In Figur 2 wird eine erfolgreiche Authentif i- 

20 zierung angenommen, was dem Kommunikationsendgerat uber eine 
SIP 200 OK Nachricht mitgeteilt wird, die von der Vermitt- 
lungsstelle S-CSCF an das Kommxinikationsendgerat geschickfe 
wird. Zusatzlich wird das Heimatregister HSS uber die erfolg- 
reiche Authentif izierung informiert. 

25 

Urn b.ei der Authentif izierung eines Kommunikationsendgerates 
in einem Dienstnetz (IMS) auf der Vermittlungsstelle S-CSCF 
die Suche nach der zugehorigen IP-Adresse zu beschleunigen 
konnte vorteilhaf terweise ein Index-Verf ahren genutzt werden. 

30 

Eine Registrieriing in einem Dienstnetz ist meist nur, wie 
beispielsweise bei einem IMS, fur eine bestimmte Dauer gul- 
tig. Diese Dauer wird durch das Dienstnetz und damit durch 
den Netzoperator bestimmt xind dem Kommunikationsendgerat wah- 
35 rend der erf olgreichen Registrierung mitgeteilt. Um die Re- 
gistrierung in dem Dienstnetz fur einen langeren Zeitraum 
aufrecht zu erhalten, muss sich das Kommunikationsendgerat 
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vor dem Ablauf der Registrierungsdauer erneut registrieren. 
Dies wird als Re-Registrierung bezeichnet. Die Re-Registrie- 
rung wird. in der Regel in periodischen Abstanden automat isch 
durch das Kommunikationsendgerat entsprechend dem beschriebe- 
5 nen Verfahren durchgefuhrt . 

Neben der Nutziing des auf der Vermittlungstelle S-CSCF ge- 
speicherten Parameterpaares <IP-SRC-UE; SIP-Public-ID> bei 
der Registrierung eines Kommunikationsendgerat es in dem 

10 Dienstnetz IMS, kann das Parameterpaar auch fur eine Authen- 
tifizierung eines Kommunikationsendgerates bei der Anforde- 
rung eines Dienstes des Dienstnetzes IMS genutzt werden. IMS- 
Dienste durf en erst nach einer erf olgreichen Registrierung in 
dem Dienstnetz IMS ausgefuhxt werden. Figur 3 zeigt den Auf- 

15 ban einer sogenannten Chat-Session in einem Dienstnetz IMS. 
IMS Chat Sessions werden durch eine sogenannte SIP INVITE 
Nachricht aufgebaut und durch eine sogenannte SIP BYE Nach- 
richt abgebaut. Eine erf indungsgemafie Uberpriifung des Parame- 
terpaares <IP-SRC-UE; SIP-Public-ID> sichert, dass nur ein 

20 authentif iziertes Kommunikationsendgerat eine Chat Session 
starten und beenden darf . Die Giiltigkeit des Parameterpaares 
<IP-SRC-UE; SIP-Public-ID> wird vor der Ausfuhrung des 
Dienstes durch die Vermittlungsstelle S-CSCF gepruft. Dazu 
fuhrt die Vermittlungsstelle S-CSCF die gleichen Uberprufun- 

25 gen durch, die wahrend der Registrierung im Dienstnetz (IMS) 
und Authentif izierung fur SIP REGISTER Nachrichten durchge- 
fuhrt werden. Die Uberprufung unterscheidet sich nur dadurch, 
dass die SIP Private User ID nicht iiberpruft wird, da nur SIP 
REGISTER Nachrichten diese als Parameter enthalten. 

30 

Der in Figur 3 dargestellte Nachricht enfluss ist identisch zu 
dem in der 3GPP in der Druckschrift TS 24.228 Version 5.0.0 
fur den Aufbau einer SIP Chat Session standardisierten Nach- 
richtenfluss. Er xinterscheidet sich vom Standard in der Au- 
35 thentif izierungsprozedur, die im Dienstnetz (IMS) ausgefuhrt 
wird . 
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In einem Vorausschritt (Schritt- 1) registriert sich ein Kom- 
munikationsendgerat UE-A im GPRS Zugangsnetz und im IMS 
Dienstnetz. Dabei wird das Parameterpaar <IP-SRC-UE; SlP-Pub- 
lic-ID> auf die Vertnittlungsstelle S-CSCF ubertragen. 

5 

Nach der Registrierung startet ein Nutzer A auf seinem Koramu- 
nikationsendgerat UE-A einen IMS-Dienst • Der niin folgende 
Nachrichtenfluss ist identisch zu dem im Standard TS 23.228 
angegebenen Fluss. Beim Aufbau eines IMS-Dienstes wird zuerst 

10 eine SIP IISTVITE Nachricht von dem Kommunikationsendgerat UE-A 
. • zu einem weiteren Kommunikationsendgerat UE-B eines weiteren 
Nutzers B gesendet. Die SIP INVITE Nachricht enthalt die IP- 
Adresse (IP-SRC-UE-1) des Kommunikationsendgerates UE-A. 
Diese muss aber nicht zwangslaufig diejenige sein, die das 

15 Kommxinikationsendgerat UE-A wahrend der Einbuchung in das 

GPRS Zugangsnetz erhalten hat, Ein unredlicher Nutzer konnte 
hier auch eine falsche Adresse eingeben. Der GGSN Zugangs- . 
netzknoten ist jedoch entsprechend den Voraussetzungen der 
vorliegenden Erfindiang in der Lage, die IP-Adresse zu uber- 

20 prufen. Weiterhin enthalt die SIP INVITE Nachricht die SIP 
Public User ID. Auch dieser Parameter kann manipuliert wer- 
den. Um dies zu uberprufen werden erf indungsgemafi die in der 
SIP INVITE Nachricht gesendeten Parameter mit dem bei der Re- 
gistrierungsprozedur in der Vermittlungsstelle S-CSCF gespei- 

25 cherten . Parameterpaar <IP-SRC-UE; SIP-Public-ID> verglichen. 
Dies entspricht den Schritten 2 bis 6 in Figur 3 . 

Der Nutzer A mit seinem Kommunikationsendgerat UE-A ist au- 
thentif iziert, wenn die fur die IP-Adresse auf der S-CSCP ge- 
30 speicherte SIP Piiblic User ID mit der SIP Public User ID aus 
der SIP INVITE Nachricht ubereinstimmt . 

Falls das genannte Kriterium nicht zutrifft, ist die Authen- 
tif zizieriing gescheitert, der angeforderte Dienst, namlich 
35 der Aufbau einer Chat Session wird nicht ausgefuhrt. In die- 
sem Fall wird dem Kommunikationsendgerat UE-A von der Ver- 
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mittlungsstelle S-CSCF eine SIP -4 01 -UNAUTHORIZED Nachricht an 
das Kommiinikaitonsendgerat UE-A des Nutzers A gesendet. 

Nach erfolgreicher Authentif izierung auf der Vermittlxmgs- 
5 stelle S-CSCF wird der Nachrichtenf luss analog dem Standard 
TS 23.228 fortgesetzt (Schritt 7 bis 27) . Jedoch wird bei je- 
der Nachricht, die auf der Vermittlungsstelle S-CSCF ein- 
trifft, das Parameterpaar <IP-SRC-UE; SIP-Piiblic-ID> wie be- 
schrieben uberpruf t . 

10 

Das . erf indungsgemaSe Verfahren weist eine Reihe von Vorteilen 
auf. Es erfordert keine neuen Schnittstellen. oder Netzele- 
mente. Ohne eine eindeutige Authentif izierung eines Dienst- 
nutzers in einetn IMS Dienstnetz konnen keine Dienste verge- 

15 buhrt warden. Das erf indungsgemaSe Verfahren stellt eine Mog- 
lichkeit fur eine sichere Authentif izierung eines Nutzers des 
Dienstnetzes dar. Das erf indungsgemaSe Verfahren ist sowohl 
fur eine Vergebuhrung von Diensten in einem IMS Dienstnetz 
als auch zur Vergebuhrung von Inhalten, die im IMS Dienstnetz 

20 angeboten werden, anwendbar. Das vorgeschlagene erf indungsge- 
maiSe Verfahren 1 iefert die gleiche Sicherheit/ wie sie heute 
beispielsweise fur WAP Dienste existiert. 

Ein weiterer Vorteil des erf indungsgemafien Verf ahrens liegt 
25 darin, dass ein Nutzer neben. WAP Diensten auch IMS Dienste 
. nutzen kann, ohne sich emeut, beispielsweise durch ein Pass- 
wort, anmelden zu muss en. 

Weiterhin ist es von grofiem Vorteil, dass auch die heute rea- 
30 lisierten Release 99 GPRS Netze als Zugangsnetze fur das IMS 
Dienstnetz genutzt werden konnen, da das erf indungsgemaSe 
Verfahren eine sichere Authentif izierung eines Nutzers eines 
IMS Dienstnetzes erlaiobt. 

35 Das erf indungsgemafie Verfahren beruht darauf , dass im IMS 

Dienstnetz eine Beziehung zwischen der temporaren IP-Adresse, 
die ein Nutzer eines Kommunikationsendgerates bzw. ein Kommu- 
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nikationsendgerat bei einer GPRS-Registrierung von einem GGSN 
Zugangsnetzknoten zugewiesen bekommen hat iind der offentli- 
chen Kennung, der sogenannten SIP Public User ID, die zur 
Vergebuhrung verwendet wird, hergestellt wird. Unter der Vor- 
5 aussetzung, dass der GGSN Zugangsnetzknoten in der Lage ist, 
die Echtheit der in den SIP Nachrichten angegebenen IP-Ad- 
resse zu iiberprufen, erlaubt dies eine sichere Identif zierung 
der SIP Public User ID und der SIP Private User ID. Somit 
kann eine sichere Aut hent if i zierung eines Nutzers von IMS 
10 Diensten gewahrleistet werden. 

1 
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Pa t ent anspr uche 

1. Verfahren zum Authentif izieren eines Nutzers eines Koramu- 
nikationsendgerats (UE) beim Registrieren und bei Nutziing ei- 
5 nes einen Konununikationsdienst organisierenden Dienstnetzes 
(IMS) , wobei ein kommunikationsendgeratesei tiger (UE) Zugrif f 
auf das Dienstnetz (IMS) uber ein das Kommunikationsendgerat 
(UE) mit dem Dienstnetz (IMS) verbindendes Zugangsnetz (GPRS) 
erfolgt, bei dem 
10 - - in einem Vorausschritt 

- eine Anmelde-IP-Adresse (IP-SRC-UE) , welche bei einem 
Anmelden des Kommunikationsendgerat s (UE) bei dem Zu- 
gangsnetz (GPRS) dem Kommunikationsendgerat (UE) von ei- 
nem Zugangsnetzknoten (GGSN) zugeordnet wurde, von dem 

15 Dienstnetz (IMS) empfangen und in diesem fur den jewei- 

ligen Nutzer des Kommunikationsendgerates abgespeichert 
wurde, 

- der Anmelde-IP-Adresse (IP-SRC-UE) von dem Dienstnetz 
(IMS) eine offentlichen Kennung (SIP-Public-ID) des Kom- 

20 munikationsendgerates. (UE) eindeutig zugeordnet und im 

Dienstnetz (IMS) gekoppelt mit der Anmelde-IP-Adresse 
gespeichert wird, 

- bei der Registrierung des Kommunikationsendgerates in dem 
Dienstnetz und/oder bei Anforderung eines Koramunikations- 

25 dienstes durch das Kommunikationsendgerat im Zugangsnetz- 

knoten (GGSN) die dem Kommunikationsendgerat zugeordnete 
Anmelde-IP-Adresse (IP-SRC-UE) und im Dienstnetz die der 
Anmelde-IP-Adresse (IP-SRC-UE) zugeordnete offentliche 
Kennung (SIP-Public-ID) verifiziert werden, 

30 - bei Verifizierung der Anmelde-IP-Adresse im Zugangsnetz- 
knoten (GGSN) und der der Anmelde-IP-Adresse (IP-SRC-UE) 
zugeordneten offentlichen Kennung (SIP-Public-ID) im 
Dienstnetz (IMS) ein erfolgreiches Registrieren erkannt 
wird und/oder der angeforderte Kommunikationsdienst ausge- 

35 fuhrt wird, und 

- bei Nicht-Verif izierung .der Anmelde-IP-Adresse im Zugangs- 
netzknoten (GGSN) und/oder der der Anmelde-IP-Adresse (IP- 
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SRC-UE) zugeordneten offentlichen Kennung (SIP-Public-ID) 
im Dienstnetz (IMS) ein erfolgloses Registrieren erkannt 
wird imd/oder eine Ausfuhrung des angef orderten Kommiinika- 
. tionsdienstes verweigert wird. 

5 

2. Verfahren nach Anspruch 1, 

dadur.ch gekennzeichnet, dass 
zusatzlich zur Verif izierung der Anmelde-IP-Adresse (IP-SRC- 
UE) und der der Anmelde-IP-Adressse zugeordneten offentlichen 

10 Kennung (SIP-Public-ID) eine Verif izierung einer privaten 

Kennung (SIP-Private-ID) des Kommunikationsendgerates durch- 
gefiihrt wird. und nur bei erf olgreicher Verif izierung der An- 
melde-IP-Adresse, der der Anmelde-IP-Adresse zugeordneten of- 
fentlichen Kennung (SIP-Public-ID) und der privaten Kennung 

15 (SIP-Private-ID) ein erf plgreiches Registrieren erkannt wird 
und/oder der angef orderte Kommunikationsdienst ausgefuhrt 
wird. 

3. Verfahren nach Anspruch 1 oder 2, 

20 dadurch gekennzeichnet, dass 

- die Verif izierung der der Anmelde-IP-Adresse zugeordneten 
offentlichen Kennung (SID-Public-ID) von einer Vermittlungs- 
stelle (S-CSCF) des Dienstnetzes (IMS) vorgenommen wird, 

25 4. Verfahren nach einem der Anspruche 2 oder 3, 

dadurch gekennzeichnet, dass 

- die Verif izierung der privaten ■ Kennung (SID-Private-ID) 
von einer Vermittlungsstelle (S-CSCP) des Dienstnetzes 
(IMS) vorgenommen wird. 

30 

5. Verfahren nach einem der vorhergehenden Anspruche, 
dadurch - gekennzeichnet, dass 

- ■ durch .eine Vermittlungsstelle (S-CSCF) des Dienstnetzes 

(IMS) bei erf olgreicher Verif izierung der Anmelde-IP-Ad- 
35 resse (IP- SRC-UE) im Zugangsnetzknoten (GGSN) und der der 
Anmelde-IP-Adresse zugeordneten offentlichen Kennung im 
Dienstnetz eine Registrieirung des Kommunikationsendgerates 
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in dem Dienstnetz (IMS) und/oder eine Ausfuhrung des ange- 
forderten Dienstes veranlasst wird, und 
- durch die Vermittliingsstelle (S-CSCF) bei Nicht-Verif izie- 
rung der Anmelde-IP-Adresse (IP-SRC-UE) im Zugangsnetzkno- 
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